La Confédération fautive dans la cyberattaque sur Xplain

(Keystone-ATS) Les enquêtes sur la cyberattaque contre l’entreprise Xplain l’an dernier ont relevé des erreurs commises par les offices fédéraux de la police et des douanes. L’entreprise est également fautive. Le Conseil fédéral annonce mercredi des mesures.

A la suite d’une attaque au rançongiciel contre l’entreprise bernoise Xplain en mai 2023, une grande quantité de données personnelles de l’administration fédérale, parmi lesquelles des données sensibles, ont été publiées sur le “darknet”. Ces données avaient été stockées sur un serveur de Xplain.

Dans les trois enquêtes lancées à la suite de l’attaque survenue, le Préposé fédéral à la protection des données (PFPDT) a constaté des violations de la loi.

Les mesures nécessaires en matière de protection des données n’ont ainsi pas été prises lors de la transmission des données personnelles de la Confédération par les offices fédéraux de la police (fedpol) ainsi que de la douane (OFDF) à Xplain. Ces données ont ensuite été conservées par Xplain en violation de la protection des données, et en partie en violation des obligations contractuelles, précise le PFPDT dans un communiqué.

Depuis que cette fuite de données a été rendue publique, le Conseil fédéral a pris ou fait prendre de nombreuses mesures afin de faire la lumière sur cet incident et d’en tirer des enseignements, écrit le gouvernement dans un communiqué distinct.

Il a notamment ordonné une enquête administrative externe. Un rapport a été établi et adopté mercredi. Outre les mesures urgentes prises suite à l’attaque, le Conseil fédéral préconise toute une série d’autres mesures.

Système de sécurité

Les unités administratives de la Confédération seront notamment tenues de mettre en place et d’exploiter un système de management de la sécurité de l’information (SMSI) d’ici à la fin de 2026 au plus tard. Le SMSI permet à la direction de gérer l’ensemble des processus de sécurité, tels que l’inventaire des informations et des moyens informatiques, l’évaluation des risques, la sécurité lors de la collaboration avec des tiers, la formation, la gestion des incidents ou la planification des audits.

Les services fédéraux concernés “n’ont pas suffisamment rempli leurs devoirs de choisir avec soin leur fournisseur, ainsi que de l’instruire adéquatement et de le surveiller. Ils n’ont pas rempli leurs devoirs sous l’angle de la protection des données et ne l’ont rempli que partiellement sous l’angle de la sécurité de l’information”, conclut le Conseil fédéral.